Soru:
Bir bilgi güvenliği ekibinin, üst düzey güvenlik önlemlerinin yalnızca güvenliği azalttığını görmesini nasıl sağlayabilirim?
cypher
2020-08-11 01:17:56 UTC
view on stackexchange narkive permalink

Özet: Mega bir şirket tarafından satın alınan küçük bir başlangıçta çalıştım. BT güvenlik politikaları aşırı, ancak daha fazla güvenlik eklemiyorlar ve iş yapmamı engelliyorlar. Bunu nasıl değiştirebilirim?

Önce biraz bağlam: Çalıştığım startup (buna Tinyco diyelim) geçen yıl büyük (binlerce kişi) teknoloji odaklı bir şirket tarafından satın alındı ​​(isim verelim (daha kolay tanımlama için Megacorp) dünya çapında ofisler ile. Söz konusu şirkette bir geliştirme ekibine liderlik ediyorum. Hala Tinyco'nun güvenlikle ilgili birçok çalışmayı dahil ettiği görevlerimin bir kısmı & Bahsedilen konularda uzmanım ama satıştan bu yana bu görevler Megacorp'un özel bilgi güvenliği ekibine devredildi. Konumumun doğası gereği, güvenlikle ilgili konularda hâlâ daha az kapasiteye sahibim.

Sorun, Megacorp'un bilgi güvenliği ekibinin iki şeyi yapma konusunda takıntılı görünmesi: hayır demek ve hayır demedikleri her şeyi hayır demeye eşdeğer bir düzeye sınırlayın. Örneğin:

  • Bir tek oturum açma (SSO) çözümü kullanmamız gerekiyor. Kendi başına bu iyi bir fikir, ancak sorun şu ki, birden çok SSO çözümü kullanmamız gerekiyor. Açık olmak gerekirse, bunun için teknolojik bir neden yok; Bu, aynı SSO sağlayıcısında her biri farklı bir yerde kullanılan birden fazla hesaptır.
    • Bu, karmaşıklığı artırırken SSO'nun tüm güvenlik avantajlarını ortadan kaldırır, yani takip etmek için daha fazla şifreniz ve daha yüksek bir şansınız olduğu anlamına gelir birini unutmak / yeniden kullanmak / kırmak.
  • Bilgi güvenliği ekibi, self servis şifre sıfırlama özelliği sağlamayı reddediyor, bunun yerine tüm şifrelerin sıfırlanmasının BT biletleri aracılığıyla yapılmasını gerektiriyor. Bir BT bileti açmanın, genellikle sıfırlamanız gereken şifreyi gerektirdiği gerçeğini görmezden gelirler, bu da genellikle bir tavuk ve yumurta sorununa yol açar ve bu genellikle şifre sıfırlama ihtiyacı olan kişi patronuna (veya patronunun patronuna) sorduğunda çözülür. telefonla ve ofis bürokrasisinde çalıştırmalarını sağlayın.
    • Sonuç olarak, BT artık insanların başkaları için şifre sıfırlama talep etmesine alışkın, iyi bir güvenlik uygulaması değil.
  • Kısa süre önce, tüm çalışma dizüstü bilgisayarlarının, oturum açmak için iki faktörlü kimlik doğrulama (bu durumda kullanıcının telefonu) gerektirecek şekilde yapılandırılacağı söylendi. Kulağa yine iyi bir fikir gibi geliyor, ancak "Telefonunuz kırılırsa / kaybolursa / çalınırsa ve dizüstü bilgisayarınızda oturum açamazsa ne yaparsınız?" onların cevabı "bunun için bir bilet açın". Telefonunuz olmadan giriş yapamayacağınız ve şahsen sizin için bir bilet açması için kimseyle iletişim kuramayacağınız için bilet açamayacağınızı anladıklarından emin olmaları tekrar sorulduğunda ( COVID- 19, hepimiz uzaktan çalışıyoruz) ve kimseyi arayamazsınız (telefonunuzu kaybettiğiniz için), onların yanıtı "üzerinde çok düşündük" oldu ve bir çalışanın nasıl olması gerektiğini söylemeyi reddettiler bu durumda sorunu kendilerine bildirin.
    • Telefonum şirket verileriyle birlikte çalınırsa, uzaktan silinmesi gerektiğini kimseye bildirmenin bir yolu yok ve dizüstü bilgisayarımda oturum açamıyorum Sonuç olarak bunu kendim yapmak için.
    • Birçok durumda, bu değişikliklerin neden herhangi bir risk oluşturduğunu açıklayamasalar da, "güvenlik nedenleriyle" ağ değişiklikleri vb. yapmayı reddettiler.
    • Bu, herkesi, işin hala yapılması gerektiğinden, genellikle daha az güvenli olan dolambaçlı bir yoldan gitmeye zorladı.
  • Daha birçok durum var. Bunlar aklıma gelen rastgele birkaç örnek.

Bunun hakkında bilgi güvenliği ekip lideriyle defalarca konuşmayı denedim, ancak " buraya rastgele güvenlik standardı eklememiz gerekiyor bunu yapmamız gerekiyor" diyor. Yukarıda bahsettiğim (ve ona anlattığım konuşmada dile getirdiğim) şeyler, onun bahsettiği herhangi bir güvenlik standardının parçası değil.

Artık ne yapacağım konusunda ciddi bir kayıp yaşıyorum çünkü bu, benim işim. Bugün sadece güvenlikle ilgili sınırlamalarla uğraştığım için bir saatten fazla saydım ve bu alışılmadık veya nadir değil ki bu, Tinyco'dayken olduğundan çok daha fazla ve aynı zamanda çok daha az güvende hissediyor. Bilgi güvenliği ekibinin bunu görmesini nasıl sağlayabilirim?

Yorumlar uzun tartışmalar için değildir;bu konuşma [sohbete taşındı] (https://chat.stackexchange.com/rooms/111721/discussion-on-question-by-cypher-how-to-get-infosec-team-to-see-that-onların-bitti).
On yanıtlar:
Dan Is Fiddling By Firelight
2020-08-11 01:32:59 UTC
view on stackexchange narkive permalink

Üst düzey yönetici değilseniz, gerçekçi bir şekilde mega bir şirkette politikayı etkilemek için yapabileceğiniz hiçbir şey yoktur ve konuşabildiğiniz uygulayıcılar da hiçbir şeyi değiştiremez.

Maalesef, Seçimleriniz, ortaya çıkardıkları BS ile yaşamayı kabul etmek ya da daha az Dilbertesque işveren aramaktır.

Şu anda katlandığınız gibi deneyimler bir taraftır birçok insanın neredeyse tüm kariyeri boyunca benzer büyüklükteki şirketlerde çalışmasının nedeni. Bu denklemin diğer yarısı, büyük şirketin işleri yapma şeklini seven, küçük bir şirketin kargaşasını kaldıramayan insanlardır.

Nitekim ve kültürdeki değişim, güçlü bir "sadece yap-yap" tutumuyla bir startupta çalışmaya alışmış biri için en sarsıcı.Megacorp'unuz işleri halletmek yerine politikaya itaat etmeye açıkça değer veriyor;ya onunla yaşamayı öğrenir ve zirveye çıkana kadar ya da yoluna devam edene kadar başka bir sipariş alan olursun.
+1.Bu nedenle, yeni başlayanlar genellikle satın alımlardan sonra kefaletle çıkar.Büyük kolordu küçük olanları satın alır çünkü emerler ve artık yenilik yapmazlar.Şimdi duvarın o tarafındasın.Ona karşı tekme at, bazılarınız altın kelepçeler nedeniyle kalmak zorunda, aksi halde yeni başlangıç zamanı.
@mxyzplk-SEstopbeingevil evet.Küçük ve orta ölçekli şirketlerde çalıştım ve gelecekte orta ölçekli bir şirkete geri dönmeye istekli olsam da, bir megacorp'a gitmek isteyeceğimi hiç sanmıyorum.
@mxyzplk-SEstopbeingevil altın kelepçeler konusunda çok haklısın, birkaç yıl daha kalmak benim için maddi olarak çok avantajlı olmasaydı uzun zaman önce terk ederdim
Müdürünüze ve onlar da CEO'ya kadar, güvenlik sisteminin size net bir fayda olmaksızın zaman ve çabaya nasıl mal olduğunu müdürünüze rapor edebilirsiniz.
@Michael de boşluğa çığlık atabilirsin ve o kadar iyi olur.Üst yönetimin Y yerine X'i tercih eden politikaları iş gücünün büyük bir bölümünü etkileyen bir şeyse, üst yönetim zaten farkındadır ve X'in şirket için Y'den daha önemli olduğuna karar vermiştir.minyon veya genç yönetim seviyesi, sorun yaratan olarak etiketlenmeleri için yeterince ısrarcı olmadığınız sürece hiçbir şey başaramayacaktır.
@cypher "Dinlenme ve yelek".Ya da burada unuttuğum bazı yorumlardan çalınmış, "Dilbert'in bir hiciv olduğunu düşünürdüm. Artık bunun bir belgesel olduğunu biliyorum."
Seçenek 3: İşinizi tamamlayabilmek için ne isterseniz yapın.Patronunuzla ara sıra bir toplantı yapacaksınız ve sinir bozucu bir güvenlik dronu olacak, burada onların önlemlerini atlatma nedenlerinizi sakince belirteceksiniz, belki bileğinize bir tokat atacak ve sonra olduğu gibi devam edeceksiniz.Sinir bozucu olduğundan daha yararlı olduğun sürece seni kovmazlar.(kaynak: benim ünlü 'kariyerim')
Dilbertesque, daha sık kullanmam gereken bir kelime
Chris
2020-08-11 02:24:34 UTC
view on stackexchange narkive permalink

Yanlış kişilere şikayette bulunuyorsunuz.

Bir başlangıçtan geliyorsunuz, bu yüzden iki şeyi varsayıyorum:

  1. Şirketiniz, çalışanlarının uzmanlığı nedeniyle satın alındı. Normalde yeni kurulan işletmelerin Megacorp'a kıyasla çok az insan gücü vardır. Böylece Megacorp ürününüzü kısa sürede kolayca kopyalayabilir, ancak yapmazlar, çünkü her zaman bir adım geride kalırlar.
  2. Büyük şirketlerin çalışanları daha iyi bildiklerini düşünürler çünkü büyük bir şirket için çalışırlar ve sen yapmadın. Böylece uzmanlığınız ve süreçleriniz göz ardı edilecek.

Aşağıdan yukarıya değişiklik getirmeye çalışıyorsanız, çalışma kültürünüz Megacorp bürokrasisinde çözülür.

Yöneticinize iletin

Çalışma şeklinizi korumak için desteğe ihtiyacınız var, bu nedenle sorunları yöneticinize iletin. Bizi onlarla karşılaştırmayın, ama etkiyi açıkça gösterin. Şeker kaplaması yok, "Çalışmasını sağlayabilirim" veya benzerine izin verilmez. Bunu kendi başınıza çözebilecek durumda değilsiniz.

En iyi durum, Megacorp'un yeni bir yaklaşım denemeyi kabul etmesi ve fikirlerinizi benimsemesi olabilir. İkinci en iyi şey, "işler çözülene" kadar bağımsız olarak çalışabileceğiniz biraz zaman kazanabilmenizdir.

Basmaya devam edin

Beklemeyin anlık değişiklikler. Megacorp'taki standart yaklaşım, bir toplantı ayarlamak, konuyu tartışmak, bir plan yapmak ve sonra her şeyi unutmaktır çünkü diğer yüksek öncelikli görevleri vardır. Bu, meşgul resmi liderliğe yardım ederek liderlik etme fırsatı yaratabilir.

Bir şeyi gerçekten değiştirmek istiyorsanız, dayanıklı olmanız gerekir. Bu nedenle motivasyonunuz konusunda emin olun, aksi takdirde daha sonra zamanınızı boşa harcadığınızı hissedebilirsiniz.

BU tam olarak nasıl yapılacağıdır.Bu konuda bir şeyler yapabilecek insanlara bunu iletin.Yönetim, $ e poliçesinin $ $ 'ın gelir $ akışı üzerindeki etkisini $ nasıl değiştirebilirse, megacorp bana $ $ yaş verecektir.Şu anda benzer bir durumdayız.
Bu.Özellikle, buradaki kilit nokta, sonuçtaki etkinin belgelenmesidir: Bunun için haftada kaç saat boşa harcanıyor?Diğer yönler (işleri daha çok yerine daha az güvenli hale getirmek) çok çok daha zordur çünkü * hiç kimse * ekibinin dışından birinin işlerini yanlış yaptığını söylemesini istemez.Ancak bir risk yönetimi sorusu olarak çerçevelenebilir: risk (çalışan telefonunu kaybeder, arayamaz, birine söylemek için oturum açamaz) güvenlik yararına değer midir (OP'ler değil onların kararıdır)O zaman riske girersiniz * azaltma *: Çalışanların bir telefon numarasına sahip olduğundan emin olmak ...
... sadece telefonlarında * değil *, başka birinin telefonundan arayarak kayıp telefonla ilgili bir bayrak kaldırabilecek (ve dizüstü bilgisayarlarına erişebilecek), muhtemelen kendilerine özel bir PIN kodu belirterekezberliyorlar.
@T.J.Crowder Patronunuzun telefon numarasını ezbere hatırlıyor musunuz, böylece telefonunuzun kaybolması durumunda onu arayabilirsiniz?Eminim ki yapma ... dizüstü bilgisayarımdan erişilebilen buluta yedeklemelerle telefonumda tutuyorum ... her ikisini de telefonumun kaybolması / hasar görmesi / çalınması durumunda kullanamayacağım
@cypher - Hayır, bilmiyorum;çoğu insan yapmaz.Bu nedenle, azaltmanın * "çalışanların bir numaraya sahip olduğundan emin olmak" * "yalnızca * telefonlarında * olmayan * bir numara" * olduğunu söyledim.Çünkü insanlar bunu başka türlü yapmaz.Bazı BT departmanlarının, bu tür bir amaç için dizüstü bilgisayarın kendisine ekledikleri bir telefon numarası ve "bulunursa lütfen arayın" amacı vardır.Mesele mekanizma değil, açık bir risk azaltmanın gerekli olduğu gerçeğidir.
Eskalasyon, burada anahtar şeydir.Bazen, onu ele alma yetkisine sahip bir kişiye ulaşmak için birçok düzeyde yükseltilmesi gerekecek olsa da.İşler çözülemezse ve dolar (veya diğer yerel para birimi) cinsinden alt satırdaki etkinin artması durumunda risklerle ilgili bu tür kesin ayrıntılar önemlidir.
Evet, cevap bu.Ben de geçen yıl benzer bir durumdaydım (neyse ki o kadar da saçma olmasa da) ve işte böyle yapılıyor.Megacorp'un BT'sinden şikayet etmem hiçbir şey yapmaz.Tinyco Başkanı'na neden x, y ve z politikalarının işimi yapmamı engellediğini ve böylece karlı ürün a ve b'nin geliştirilmesini engellediğini açıklarken, diğer yandan x, y ve z politikalarını askıya alırken (en azından bizim için) oldukça hızlı.
thieupepijn
2020-08-11 02:11:43 UTC
view on stackexchange narkive permalink

Zaman çizelgelerinizi doldururken (çünkü şu anda büyük megacorp için çalışıyorsunuz, bunu şimdi yapmanız gerektiğini varsayıyorum) gerçek bir iş yapmadığınız ancak bahsettiğiniz konularla meşgul olduğunuz tüm saatleri kaydettiğinizden emin olun. Sorunlarınızı kesinlikle hemen çözmez, ancak bu zaman çizelgeleri ile gerçekten bir şey yapılırsa, belki zincirdeki biri bunu fark edecek ve harekete geçecektir.

Çoğu zaman çizelgesi sisteminin özel kodların kullanılmasına izin verdiğini sanmıyorum, bu nedenle, kullanmamanız veya bazı kodlar için fazladan rezervasyon yapmanız gereken bir kod kullanmanız dışında, muhtemelen fark edilmeyecektir.
Tinyco bir sonraki zaman raporlamasına sahip olabilir (eğer varsa), ancak megacorp neredeyse kesinlikle böyle bir esnekliği olmayan sabit zaman kodlarına sahiptir.
Bunu yaptıktan sonra, rezervasyon yaptığınız kodlara bütçe eklenmemiş olduğundan, büyük olasılıkla birinci derece yöneticinizin sizden yalnızca belirli onaylanmış kodlar için rezervasyon yapmanızı istemesini ister.Sorun bundan daha yükseğe yükseltilmeyecek.Zaman çizelgeleri her zaman yalandır ve her zaman yapılan fiili işten ziyade projelere ayrılan bütçeyi yansıtır.
Zaman çizelgelerinin genellikle, gerekli olan her türden "genel" faaliyetler (toplantılar, teknik konular, vb.) Dahil olmak üzere, hedeflere yönelik çabanın "faturalandırılmasını" yansıtması gerekir."Gerçek bir iş yapmadığınız tüm saatler" diye bir şey olmamalıdır, çünkü, örneğin, bu 'güvenlik' önlemleri, beş dakikalık bir değişiklik (ne olması gerektiği) yapmanızın dört saatinizi aldığını gösteriyorsa,daha sonra zaman çizelgesi değişikliğin 'maliyetini' yansıtmalıdır, bu saatler, bu değişikliğin gerçekleşmesi için yapmanız gereken fiili çalışmaydı.
Anthony
2020-08-11 08:54:30 UTC
view on stackexchange narkive permalink

Ben, yaklaşık 7 yıldır siber güvenlik mesleğinde çalışıyorum. Tek oturum açma (SSO) ve çok faktörlü kimlik doğrulama (MFA) gibi bahsettiğiniz güvenlik kontrollerinin düzgün bir şekilde uygulandığında iyi bir fikir olduğu konusunda size katılıyorum.

Doğru güvenliğin kritik olduğunu ve bahsettiğiniz güvenlik kontrollerinin teoride iyi bir fikir olduğunu kabul ederek başlayacağım. Görüşmeyi anlaşma konuları üzerinde başlatın - "ne" ile ilgili. Bu, bir güvenlik profesyoneli olarak, uygun siber güvenlik seviyesi fikrine karşı olmadığınızı gösterecektir. Aynı fikirde olmadığınız yerde, bu güvenlik kontrollerinin nasıl uygulandığı”

Teknik bir rol üstlendiğinize göre, değişiklikleri ortaya çıkarmak için teknik uzmanlığınıza geri döneceğim arzuluyorsun. Onlara, çeşitli kimlik protokollerine (örneğin: SAML) sahip uygun bir SSO sağlayıcısının nasıl çalışması gerektiğini gösterin. Kötü niyetli bir BT çalışanı gibi bir tehdit aktörünün başka bir kullanıcının hesabını tehlikeye atabileceği ve ardından mevcut, bozuk parola sıfırlama işlemini kullanarak onun kimliğine bürünebileceği olası saldırı senaryosunu onlara gösterin. Nihayetinde, yönetimin, endişelerinizin işinizi yapmanıza olumsuz yönde etki eden gerçek somut sonuçlara sahip olduğu konusunda kesinlikle net olmasını istersiniz. Endişelerinizi ortaya koyabilmek aslında gerçekleştirilebilir ve sadece hayal ürünü değil, kritik önem taşır.

Yönetimi, beyaz şapka sistemi "hacklemenize" izin vermeye ikna edebilirseniz, bu somut sonuçları bile gösterebilirsiniz."Bana dizüstü bilgisayarınızı verin mi? Onu çalan kötü niyetli bir çalışan olduğumu varsayalım."
En yakın geldiğimde, bir keresinde kurumsal güvenliğe gönderdiğim ve "Bu e-postayı kurumsal güvenlikten geldiğini iddia eden ve XXXX yapmamı isteyen bir e-postaydı. Bu pek güvenli görünmüyor çünkü YYYY. E-posta gerçekten sizden mi geldi?veya bir hacker'dan mı? Bu arada, bir dahaki sefere, kurumsal güvenlikten geldiğini iddia eden e-postaların gerçek olduğunu nasıl bilebilirim? ".
JazzmanJim
2020-08-11 01:58:39 UTC
view on stackexchange narkive permalink

Her şeyi belgeleyin. "X" veya "Y" veya "Z" için ne kadar zaman harcadığınız. Her şeyi ticari şartlara ayırın - ne kadar zaman harcanıyor ve bunun işletmeye maliyeti nedir.

Hızlı değişiklikler yapamayacaksınız. Büyük kuruluşlar, yön değiştirmesi sonsuza kadar süren bir savaş gemisi gibidir.

wberry
2020-08-11 22:26:24 UTC
view on stackexchange narkive permalink

Büyük bir kuruluşta çalışmanın nasıl bir şey olduğunu keşfediyorsunuz. Açıkladığınız sorunlar, güvenlik ekibini denetleyen yönetici ve bu ekibin mimarı, her ikisi de bir sorun olduğunu kabul edene, sorunu çözmek için finanse edilen bir proje alana ve kurs boyunca bir çözüm sunana kadar devam edecektir.

Durumunuza alışın, çünkü ne kadar haklı olursanız olun bir süre böyle olacak. Bu arada, kimsenin kıçında kendinize acı çekmeyin. Bu, MegaCorp'ta terfi beklentilerinizi ve hatta rolünüzdeki yanal değişiklikleri sınırlamanın harika bir yolu olacaktır.

Bunun yerine, çözmek istediğiniz, yönetimin çözmenizi istediği bir zorluk bulun ve bu zorluğu kabul edin ve peşinden git. Güvenlik politikaları, içinde çalışmanız gereken ortamın sadece bir parçasıdır. Size sorun çıkarırlarsa, paydaşlarınızın bunları ve onlarla nasıl çalışmayı planladığınızı bildiğinden emin olun. Sonra devam edin.

Bu sorunlar büyük kuruluşlara özgü değildir, yeni başlayanlar katı parola sıfırlama prosedürlerine, rol ayrımlarına ve parola kimlik doğrulamasından kaçınma ihtiyacına sahip olabilir ve olmalıdır.
@eckes, girişimler aynı sorunları yaşarken, uygulanabilir çözümlerin alanı ve organizasyonel değişim için olanaklar tamamen farklıdır.Küçük bir organizasyonda, sizi etkileyen politikalardaki kusurları tartışabilmeli ve düzeltebilmelisiniz, büyük organizasyonlarda genellikle (hiyerarşideki rolünüze bağlı olarak) bu mümkün olmayacaktır.
fraxinus
2020-08-11 16:28:41 UTC
view on stackexchange narkive permalink

Çoğu durumda, yapamazsınız.

Bu "infosec" kişilere, kendi başarısızlıklarına kadar izini sürebilen ihlallere sahip olmadıkları için ödeme yapılır, övülür ve terfi edilir.

Suçu başka birine verebildikleri sürece, genel olarak ihlaller onlar için kötü değildir. Dahası, daha fazla bütçe ve daha fazla güç elde etmek için ihlali kötüye kullanabilirler.

Başkalarının prodictivitesini yarıya indirmek (veya daha kötüsü) onların sorunu değildir. Üst yönetim genellikle herkese uygulanan bir sonraki "güvenlik önlemi" nden vazgeçer ve politikayı onlar için gevşetir. Her şeye aynı anda uymanın yükünü görmezler. Sıradan çalışan aynı lükse sahip değil ve üretkenlik, kaynamış kurbağa etkisinden zarar görüyor.

* "Genel olarak ihlaller onlar için kötü değildir - suçu başka birine aktarabildikleri sürece." * - İş yerindeki infosec görevlisinin, eyalet güvenliğini gösteren e-posta yoluyla kendisine bilgi gönderdiğimde bir kez fulmin olmasının nedeni bu mu acaba?hizmetleri, güvenliği azalttığı ve insanları kalıplar kullanmaya veya bunları yazmaya zorladıkça uygulamak istediği sürekli değişikliklerle mantıksız karmaşık şifreleri kullanımdan kaldırmıştı.O zamanlar bunu tamamen kibir olarak algıladım, ama geriye dönüp baktığımda belki de kayda geçip daha sonra personeli suçlamasını önleyecek bir şey yazdığım içindir.
@Steve Bu * hala * kibirdir;sadece farklı bir tür.
Old Nick
2020-08-11 19:14:49 UTC
view on stackexchange narkive permalink

Beni yanlış anlamayın, ben de bir geliştiriciyim ve ben de bunun gibi kuruluşlarda çalıştım ama bir şeyleri değiştirme şansınız çok az (Benim deneyimlerime göre küçük değişiklikler yapabilirsiniz ama genel olarak, temel değişiklikler yapamazsınız) bu nedenle ya onunla yaşamayı öğrenin ya da beğeninize göre başka bir şey bulun.

Büyük şirketler, mali cezaları nedeniyle kısıtlayıcı güvenlik politikalarına sahip olma eğilimindedir. yanlış yapmak çok ciddidir. Kötü niyetli saldırı tehdidinin yanı sıra, sektörünüze bağlı olarak, güvenlik ihlalleri için son derece ağır düzenleyici cezalar olabilir.

Kuruluşlar, para kazanmayı önemsiyor ve bir yazılım geliştiricisinin gününü kesintiye uğratması tercih ediliyor, fidye yazılımı için bazilyon dolar ödediğini varsayalım.

Çalıştığım bir megacorp'ta bana iyi bilinen ancak anlamsız bir şekilde pahalı ve güncelliğini yitirmiş bir veritabanı çözümünden daha modern bir açık kaynak çözümüne geçemeyeceğimiz söylendi çünkü "dava açarsak, bir yargıç büyük ihtimalleX kullanırsak bizi cezalandırırsak Y kullanırsak bizi cezalandırır "cevabı aldım.
chasly - reinstate Monica
2020-08-12 16:28:19 UTC
view on stackexchange narkive permalink

Mümkün olduğunca yükseğe ve bulabileceğiniz en iyiliksever kişiye inanıyorum.

Dahili e-postayı kullanırken birinin neredeyse kesinlikle onu izlediğini unutmayın. Yapmak istediğiniz önerilen noktayı gösteren basit, kısa bir yazılı notla, kişinin OA'sı aracılığıyla yaklaşırdım. Göndermeden önce gerekli kişilere kopyalayın, böylece onların arkasından gitmezsiniz. Eğer itiraz ederlerse, "Bak, bu önemli ve hiçbir yere varamıyoruz. Birisi fark etmezse, daha yükseğe çıkmam zorunda olacağım" der.

İşte ne yazabilirim:

Sevgili VIP

TinyCo'nun, güvensizliğe sahip olduğumuz uzmanlık nedeniyle devralındığını anlıyorum, ancak bu uzmanlığın olmadığı bir alan var henüz tam olarak kullanılıyor.

Özellikle, günümüz dünyası için güncellenmesi gereken bir veya iki önemli güvenlik gereksinimi var. Ancak MegaCorp'tan devralınan ve bu önlemleri ilerletmemi engelleyen eski kurallarla karşılaştım. Sadece veri güvenliğini artırmakla kalmazlar, bence önemli ölçüde zaman ve para tasarrufu da sağlarlar.

Bu fikirleri resmi olarak sunabilmem için beni bir Megacorpsecurity uzmanıyla temasa geçirmeyi düşünür müsünüz acaba? size rapor verebilir misiniz?

Saygılarımızla

cypher

Bu ne yapar

Kendileri için herhangi bir iş oluşturmadan bunu önemli kişinin dikkatine getirir.

Adıyla tanıyacakları tek MegaCorp güvenlik uzmanı, en iyi adam / gal olun. VIP'nin yapması gereken tek şey, "Lütfen buna bakın ve rapor edin" diyen bir mesaj göndermektir. Öyleyse masalarından kalkıyor.

Uyarı

VIP'yi hiçbir zaman SSO veya IT biletleriyle ilgili teknik konuşmalarla bombardımana tutmamalısınız - Muhtemelen hiç bunların ne olduğuna dair bir fikriniz var. Teknik olarak düşünüyorsa, isterlerse sizden teknik bir özet isteyebilirler.

Ne doğru olabilir

  1. Önerileriniz şirketi çok fazla zaman ve para israfından kurtarırsa, kariyerinizi büyük ölçüde hızlandırabilirsiniz. VIP artık adınızı biliyor.

  2. Ufak bir uşak olmadığınızı, ancak fikirleri önemli olan bir eşit olduğunuzu büyük birliğin zihnine ekiyor.

  3. MegaCorps çalışanlarının yeni bir şeye geçmeden önce size danışmalarına bile yol açabilir.

Ne ters gidebilir?

Çok fazla risk olduğunu düşünmüyorum çünkü VIP sizi görmezden gelirse veya sadece "Birincil patronunuzla konuşun" derse, kaybetmemişsinizdir herhangi bir şey. Ancak VIP yardımsever, zekiyse ve size yardımcı oluyorsa, kimse tartışmayacaktır.

Sorumluluk Reddi

Her eylemin veya eylemsizliğin riskleri ve sonuçları vardır . Şahsen önerimin bir dezavantajı olduğunu düşünmüyorum, ancak kendiniz için herhangi bir riski tartmalısınız. Yıllarca süren hayal kırıklığı, biraz riskli bir eylemde bulunmaktan daha mı iyidir?

Rastgele düşünceler

Belki özel not kullanmayabilir, ancak birinin kafasını karıştırmaktan kaçının kurallar nedeniyle herhangi bir ilerleme olmadığı için onlara doğrudan VIP ile iletişim kuracağınızı söylemek. Yine itiraz ederlerse, "Ama bu gerçekten önemli ve hiçbir yere varamıyoruz" deyin. Hâlâ itiraz ederlerse, ahlaki yüksek zemini alın, "Üzgünüm ama mevcut durum şirkete zaman ve paraya mal oluyor. Buna meydan okumasaydım görevimi yapmazdım. Başka seçeneğim yok"

Asla bir kişiyi veya departmanı suçlamayın - İnsanların başını belaya sokmaya çalışmıyorsunuz. Planınızın sağlayacağı faydaları ve iyileştirmeleri her zaman belirleyin.

Bunu yapmak çok uzun bir şans, ancak kaybedilen zaman ve para için bir hesaplama ekleyerek bu olasılıkları önemli ölçüde artırabilirsiniz.Örneğin, kaç kişinin parola sıfırlamasına ihtiyacı vardır, ne zaman ihtiyaç duyulduğunda ne kadar zaman harcanır (insanlar çalışamaz) ve mühendis saatleri içinde bu sürenin maliyeti nedir?
X X
2020-08-13 13:19:10 UTC
view on stackexchange narkive permalink

Yönetim ve güvenlik görevlileriyle konuşmaya hazır olun.
Ama her şeyden önce herkesle en çok anladıkları "dil" ile konuştuğunuzdan emin olun.

Konuşma "zamanı ve "üst yönetiminizle para. Nasıl / neden güvensiz olduğu hakkında fazla konuşmayın. Onunla ilgilenmeyebilirler. Yönetim daha çok ne kadar zaman / para maliyeti olduğu veya ne kadar kaybedildiği konusunda endişelidir - ve bu şekilde konuşmalısınız. Buna hazırlanmak için önce şu soruları yanıtlayın.

  • Ne kadar zaman alır senden aylık ("engellenen" süreyi de dahil edin)
  • Ekipten (veya organizasyondan) ayda ne kadar zaman alıyor?
  • Ne kadar iş olabilir onun yerine bitti mi? (ör. görevler, özellikler, hikaye noktaları)

Zaman / ay çok azsa, belki de bunun için gitmemek daha iyidir.
Ama fark edilir derecede büyükse ve / veya ekibi engeller - bunun için gidin!
Yöneticilerinizle konuşmadan önce zamanı görünür iş veya para birimlerine çevirdiğinizden emin olun.
Örneğin: Sorunlar takımın her üyesi ayda bir. Düzeltilmesi 2-3 saat sürer. Takımın 10 üyesi varsa, bu ayda 20-30 saat yapar ki bu 2-4 tam iş günü demektir. Yani şu dile çevrilebilir:
"Takım bloke olduğu için ayda 3 tam iş günü kaybeder "
" Bu sorunları yaşamıyorsak ayda 5 yüksek öncelikli özelliği daha uygulayabiliriz. "

Güvenlik liderlerinizle" güvenlik "hakkında konuşun . Bunun sizin veya ekibiniz için ne kadar sakıncalı olduğu hakkında fazla konuşmayın. Önemsemeyebilirler, güvenlik rahatlıkla ilgili değildir. Ne kadar güvenli / güvensiz olduğu, bunun üstesinden gelmek için ne kadar az (veya hiç) iş yapmamaları gerektiğiyle ilgilenirler.

  • Çözüm araştırması. Sorunları yazın. Sonra her birini araştırın ve nasıl yapılması gerektiğine dair (zihninizde veya yazılı olarak) çözümler hazırlayın. Yapıcı konuşmalar yapmak için hangi sorunları düzeltmek istediğinizi ve nasıl düzeltilebileceğini net bir şekilde açıklamanız gerekir.
  • Tahminler. Mümkünse, her bir düzeltmenin uygulanmasının ne kadar zaman alacağını sayın. Mümkünse, güvenliği iyi olan arkadaşlarınıza danışın (takımınızda veya diğer birliklerde) Uygulama süresi azsa, sizden / takımdan (ayda) geçen süreden daha azsa, bu noktayı konuşmalarınızda kullanın. . Tahminlerin gerçekçi olduğundan emin olun. Karar verici bir argüman haline gelebilir.

Toplantılar düzenleyin . Yönetici, güvenlik ekibi ile konuşun, ardından ilgili taraflarla toplantı ayarlayın. Sonunda hepsi şu sorulara dönecek: "Ne kadara mal olacak?", "Maliyete değer mi?", "Yaparsak daha fazla iş değeri kazanacak mıyız?". Bu sorulara hazır olun. Ve eğer kesinlikle maliyete değerse, yönetim bir süre sonra güvenlik ekibini zorlamaya başlayacaktır.

Tüm bunlardan sonra sabırlı olmanız gerekecek. Birkaç kez yukarıdaki adımlardan geçmeye hazır olun. Ayrıca,

  • İstatistikleri saymaya devam edin . Notlarınıza ve raporlarınıza sizin (veya takım arkadaşlarınızın) engellendiği zamanı yazın. Bir sonraki görüşmelerinizde buna ihtiyacınız olacak. Yeterince "sayıya" sahip olur olmaz, teklifleriniz fark edilmeye başlayacaktır. Bunun tersi de mümkündür - iş açısından bakıldığında bunun "maliyete" değmediğini fark edebilirsiniz (soruna bağlı olarak).
  • "Karşı" davranmayın, "düzeltmeye" gidin . Yıkıcı suçlamalar ve şikayetler kullanmayın. Bu tür davranışlar, beceriksizliğin ve profesyonelliğin göstergesi olarak görülüyor ve kariyerinizi olumsuz etkileyebilir.
  • Sürekli, yapıcı bir şekilde yükseltmeye devam edin . Değişiklik ertesi gün olmayacak. Şirketinizin büyüklüğüne bağlı olarak aylar sürebilir.

Sonunda, başarılı olursanız, bir liderlik eylemi olarak görülecektir ve kariyerinizi olumlu yönde etkileyecektir. Sonuçları birkaç ay içinde paylaşmayı unutmayın :)



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 4.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...